Bulletin d'alerte Debian
DLA-3393-1 protobuf -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 18 avril 2023
- Paquets concernés :
- protobuf
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2021-22569, CVE-2021-22570, CVE-2022-1941.
- Plus de précisions :
-
Cette mise à jour corrige un déréférencement de pointeur NULL et deux conditions de déni de service dans protobuf.
- CVE-2021-22569
Un problème dans protobuf-java permettait l’entrelacement de champs
com.google.protobuf.UnknownFieldSetde telle façon qu’ils étaient traités dans le désordre . Une petite charge utile malveillante pouvait occuper l’analyseur pendant plusieurs minutes en créant un grand nombre d’objets de courte durée de vie qui provoquaient des pauses fréquentes et répétées. - CVE-2021-22570
Déréférencement de nullptr quand un caractère NULL est présent dans un symbole proto. Celui-ci est analysé incorrectement, conduisant à un appel non vérifié dans le nom de fichier proto lors de la génération du message d’erreur résultant. Puisque le symbole est mal analysé, le fichier est nullptr.
- CVE-2022-1941
Une vulnérabilité d’analyse pour le type
MessageSetProtocolBuffers peut conduire à des échecs de mémoire. Un message contrefait pour l'occasion avec plusieursclé-valeur
par éléments créait des erreurs d’analyse et pouvait conduire à un déni de service à l’encontre de services recevant une entrée non nettoyée.
Pour Debian 10
Buster
, ces problèmes ont été corrigés dans la version 3.6.1.3-2+deb10u1.Nous vous recommandons de mettre à jour vos paquets protobuf.
Pour disposer d'un état détaillé sur la sécurité de protobuf, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/protobuf.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2021-22569